_ [obsd][sec]OpenSSL is written by monkeys

I have come to the conclusion that OpenSSL is equivalent to monkeys throwing feces at the wall.

いまは NSS とか cyassl (taocrypt) とかいうものがあるらしいけど、そういうのは検討しなかったのかな。いずれにせよ、あのコード/文書を見て危機感を持つのは正しいと思う。

まえ mutt で cert chain をいじる方法を調べたときは、どこまで公開された関数やマクロなのかよくわからなくて困ったっけなあ。 けっきょく chain 内の順番は、試行錯誤で「あ、逆順にやればいいみたい」という感じだった気がする。

ASSL は OpenSSL へのラッパであって OpenSSL の rewrite というわけではないから、周囲への影響はほとんどないと思う。(OpenSSL のコード品質を問題にするのであれば、ラッパではなく GnuTLS や NSS や cyassl の中から選ぶんじゃないかな)

_ [mutt][sec]SSL で '\0' が入ってるときも、Mutt は大丈夫っぽい

hostname とかのチェックで、単純に strlen + strcmp すると、'\0' 混入の証明書にダマされるとかいう問題。

サラッと見たところ、OpenSSL からの文字列は strlen じゃなくて ->length とかで取得しているみたいだったから、大丈夫っぽい。

珍しく mutt を見直した。